Üzenetsorok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval

Az Azure Storage támogatja a Microsoft Entra ID használatát az adatok várólistára helyezésére irányuló kérések engedélyezéséhez. A Microsoft Entra ID-val azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy biztonsági tagnak, amely lehet felhasználó, csoport vagy alkalmazásszolgáltatás-tag. A biztonsági tagot a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Queue szolgáltatással kapcsolatos kérések engedélyezésére használható.

A Microsoft Entra ID azonosítóval történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A Microsoft azt javasolja, hogy ha lehetséges, használja a Microsoft Entra-hitelesítést az üzenetsor-alkalmazásokkal, hogy biztosítsa a hozzáférést a minimálisan szükséges jogosultságokkal.

A Microsoft Entra-azonosítóval rendelkező engedélyezés minden általános célú tárfiókhoz elérhető az összes nyilvános régióban és nemzeti felhőben. Csak az Azure Resource Manager-alapú üzemi modellel létrehozott tárfiókok támogatják a Microsoft Entra engedélyezését.

Az üzenetsorok Microsoft Entra-azonosítójának áttekintése

Amikor egy biztonsági tag (felhasználó, csoport vagy alkalmazás) megpróbál hozzáférni egy üzenetsor-erőforráshoz, a kérést engedélyezni kell, kivéve, ha névtelen hozzáférésre szolgáló üzenetsor. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat:

1. Először a rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza.

   A hitelesítési lépés megköveteli, hogy egy alkalmazás futásidőben OAuth 2.0 hozzáférési jogkivonatot kérjen. Ha egy alkalmazás egy Azure-entitáson belül fut, például egy Azure-beli virtuális gépről, egy virtuálisgép-méretezési csoportról vagy egy Azure Functions-alkalmazásról, egy felügyelt identitással hozzáférhet az üzenetsor-adatokhoz.

2. Ezután a rendszer a jogkivonatot egy kérés részeként továbbítja a Queue szolgáltatásnak, és a szolgáltatás a megadott erőforráshoz való hozzáférés engedélyezésére használja.

   Az engedélyezési lépéshez egy vagy több Azure RBAC-szerepkört kell hozzárendelni a kérést küldő biztonsági taghoz. További információ: Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz.

Microsoft Entra-fiók használata portállal, PowerShell-lel vagy Azure CLI-vel

Ha tudni szeretné, hogyan férhet hozzá adatokhoz az Azure Portalon Egy Microsoft Entra-fiókkal, tekintse meg az Azure Portalról való adathozzáférést. Az Azure PowerShell- vagy Azure CLI-parancsok Microsoft Entra-fiókkal való meghívásáról további információt a PowerShellből vagy az Azure CLI-ből származó adathozzáférés című témakörben talál.

Hozzáférés engedélyezése az alkalmazáskódban a Microsoft Entra-azonosító használatával

Ha engedélyezni szeretné az Azure Storage-hoz való hozzáférést a Microsoft Entra-azonosítóval, az alábbi ügyfélkódtárak egyikével szerezhet be egy OAuth 2.0-jogkivonatot:

• Az Azure Identity-ügyfélkódtár a legtöbb fejlesztési forgatókönyvhez ajánlott.
• A Microsoft Authentication Library (MSAL) alkalmas lehet bizonyos speciális helyzetekben.

Azure Identity-ügyfélkódtár

Az Azure Identity-ügyfélkódtár leegyszerűsíti az OAuth 2.0 hozzáférési jogkivonat lekérését a Microsoft Entra ID-val való engedélyezéshez az Azure SDK-on keresztül. A .NET, Java, Python, JavaScript és Go Azure Storage-ügyfélkódtárak legújabb verziói integrálhatók az Egyes nyelvek Azure Identity-kódtáraival, így egyszerű és biztonságos módon szerezhetnek be hozzáférési jogkivonatot az Azure Storage-kérelmek engedélyezéséhez.

Az Azure Identity-ügyfélkódtár előnye, hogy lehetővé teszi, hogy ugyanazt a kódot használja a hozzáférési jogkivonat beszerzéséhez, függetlenül attól, hogy az alkalmazás a fejlesztési környezetben vagy az Azure-ban fut. Az Azure Identity ügyfélkódtár egy hozzáférési jogkivonatot ad vissza egy biztonsági tag számára. Ha a kód az Azure-ban fut, a biztonsági tag lehet az Azure-erőforrások felügyelt identitása, egy szolgáltatásnév vagy egy felhasználó vagy csoport. A fejlesztői környezetben az ügyfélkódtár egy hozzáférési jogkivonatot biztosít egy felhasználó vagy egy egyszerű szolgáltatás számára tesztelési célokra.

Az Azure Identity ügyfélkódtár által visszaadott hozzáférési jogkivonatot a rendszer egy jogkivonat hitelesítő adataiba foglalja bele. Ezután a jogkivonat hitelesítő adataival lekérhet egy szolgáltatásügyfél-objektumot, amelyet az Azure Storage-beli engedélyezett műveletek végrehajtásához használhat. A hozzáférési jogkivonat és a token hitelesítő adatainak lekérésének egyszerű módja az Azure Identity ügyfélkódtár által biztosított DefaultAzureCredential osztály használata. A DefaultAzureCredential több különböző hitelesítő adattípus egymás után történő kipróbálásával próbálja lekérni a jogkivonat hitelesítő adatait. A DefaultAzureCredential mind a fejlesztési környezetben, mind az Azure-ban működik.

Az alábbi táblázat további információkra mutat az adatokhoz való hozzáférés engedélyezéséhez különböző forgatókönyvekben:

Language	.NET	Java	JavaScript	Python	Go
A Hitelesítés és a Microsoft Entra-azonosító áttekintése	.NET-alkalmazások hitelesítése az Azure-szolgáltatásokkal	Azure-hitelesítés Java és Azure Identity használatával	JavaScript-alkalmazások hitelesítése az Azure-ban az Azure SDK használatával	Python-alkalmazások hitelesítése az Azure-ban az Azure SDK használatával
Hitelesítés fejlesztői szolgáltatásnevek használatával	.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával	Azure-hitelesítés szolgáltatásnévvel	JS-alkalmazások hitelesítése azure-szolgáltatásokba szolgáltatásnévvel	Python-alkalmazások hitelesítése az Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával	Azure SDK for Go-hitelesítés szolgáltatásnévvel
Hitelesítés fejlesztői vagy felhasználói fiókok használatával	.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával	Azure-hitelesítés felhasználói hitelesítő adatokkal	JS-alkalmazások hitelesítése az Azure-szolgáltatásokba fejlesztői fiókokkal	Python-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával	Azure-hitelesítés a Go-hoz készült Azure SDK-val
Hitelesítés az Azure által üzemeltetett alkalmazásokból	Azure-beli alkalmazások hitelesítése Azure-erőforrásokba a .NET-hez készült Azure SDK-val	Az Azure által üzemeltetett Java-alkalmazások hitelesítése	Azure-beli JavaScript-alkalmazások hitelesítése Azure-erőforrásokra a JavaScripthez készült Azure SDK-val	Azure-beli alkalmazások hitelesítése Azure-erőforrásokba a Pythonhoz készült Azure SDK-val	Hitelesítés a Go-hoz készült Azure SDK-val felügyelt identitás használatával
Hitelesítés helyszíni alkalmazásokból	Hitelesítés Azure-erőforrásokon a helyszínen üzemeltetett .NET-alkalmazásokból		Helyszíni JavaScript-alkalmazások hitelesítése Azure-erőforrásokon	Hitelesítés Azure-erőforrásokba a helyszínen üzemeltetett Python-alkalmazásokból
Identitásügyfél-kódtár áttekintése	Azure Identity ügyfélkódtár a .NET-hez	Azure Identity-ügyfélkódtár Java-hoz	Azure Identity-ügyfélkódtár JavaScripthez	Azure Identity-ügyfélkódtár Pythonhoz	Azure Identity ügyfélkódtár a Go-hoz

Microsoft Authentication Library (MSAL)

Bár a Microsoft azt javasolja, hogy lehetőség szerint használja az Azure Identity-ügyfélkódtárat, az MSAL-kódtár alkalmas lehet bizonyos speciális helyzetekben való használatra. További információ: MSAL.

Ha az MSAL használatával szerez be egy OAuth-jogkivonatot az Azure Storage-hoz való hozzáféréshez, meg kell adnia egy Microsoft Entra-erőforrás-azonosítót. A Microsoft Entra erőforrás-azonosítója azt a célközönséget jelzi, amely számára egy kibocsátott jogkivonat használható az Azure-erőforrásokhoz való hozzáférés biztosítására. Az Azure Storage esetében az erőforrás-azonosító egyetlen tárfiókra vonatkozhat, vagy bármely tárfiókra vonatkozhat.

Ha egy adott tárfiókra és szolgáltatásra jellemző erőforrás-azonosítót ad meg, az erőforrás-azonosító egy jogkivonat beszerzésére szolgál, amely csak a megadott fiókra és szolgáltatásra irányuló kérelmek engedélyezésére szolgál. Az alábbi táblázat az erőforrás-azonosítóhoz használandó értéket sorolja fel a használt felhő alapján. Cserélje le a <account-name> kifejezést a tárfiókja nevére.

Felhőbeli	Erőforrás-azonosító
Azure Global	https://<account-name>.queue.core.windows.net
Azure Government	https://<account-name>.queue.core.usgovcloudapi.net
Azure China 21Vianet	https://<account-name>.queue.core.chinacloudapi.cn

Megadhat egy erőforrás-azonosítót is, amely bármely tárfiókra érvényes, ahogy az az alábbi táblázatban is látható. Ez az erőforrás-azonosító minden nyilvános és szuverén felhő esetében ugyanaz, és egy jogkivonat beszerzésére szolgál a tárfiókokra irányuló kérések engedélyezéséhez.

Felhőbeli	Erőforrás-azonosító
Azure Global Azure Government Azure China 21Vianet	https://storage.azure.com/

Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz

A Microsoft Entra hozzáférési jogosultságokat engedélyez az erőforrások védelméhez az Azure RBAC-en keresztül. Az Azure Storage beépített RBAC-szerepkörök készletét határozza meg, amelyek az üzenetsoradatok eléréséhez használt közös engedélykészleteket foglalják magukban. Egyéni szerepköröket is meghatározhat az üzenetsor-adatokhoz való hozzáféréshez. Ha többet szeretne megtudni az Azure-szerepkörök üzenetsor-hozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök hozzárendelése az üzenetsor-adatokhoz való hozzáféréshez című témakört.

A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz. A rendszerbiztonsági taghoz rendelt RBAC-szerepkörök határozzák meg azokat az engedélyeket, amelyekkel a rendszerbiztonsági tag rendelkezik. További információ az Azure-szerepkörök üzenetsor-hozzáféréshez való hozzárendeléséről: Azure-szerepkör hozzárendelése az üzenetsor-adatokhoz való hozzáféréshez

Bizonyos esetekben szükség lehet az üzenetsor-erőforrások részletes hozzáférésének engedélyezésére vagy az engedélyek egyszerűsítésére, ha nagy számú szerepkör-hozzárendeléssel rendelkezik egy tárerőforráshoz. Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) használatával konfigurálhatja a szerepkör-hozzárendelések feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. További információ az Azure Storage-erőforrások ABAC-vel való konfigurálásáról: Üzenetsorok hozzáférésének engedélyezése Azure-szerepkör-hozzárendelési feltételekkel. Az üzenetsor-adatműveletek támogatott feltételeiről további információt az Azure-üzenetsorok Azure-szerepkör-hozzárendelési feltételeinek műveletei és attribútumai című témakörben talál.

Megjegyzés:

Azure Storage-fiók létrehozásakor a rendszer nem rendeli hozzá automatikusan az adatok Microsoft Entra-azonosítón keresztüli eléréséhez szükséges engedélyeket. Kifejezetten azure-szerepkört kell hozzárendelnie a Queue Storage-hoz való hozzáféréshez. Hozzárendelheti az előfizetés, az erőforráscsoport, a tárfiók vagy az üzenetsor szintjén.

Erőforrás hatóköre

Mielőtt Azure RBAC-szerepkört rendel egy biztonsági taghoz, határozza meg, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak. Az ajánlott eljárások azt diktálják, hogy mindig a lehető legszűkebb hatókört érdemes megadni. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.

Az Azure-üzenetsor-erőforrásokhoz való hozzáférést a legszűkebb hatókörtől kezdve a következő szinteken végezheti el:

• Egy egyéni üzenetsor. Ebben a hatókörben a szerepkör-hozzárendelés az üzenetsorban lévő üzenetekre, valamint az üzenetsor tulajdonságaira és metaadataira vonatkozik.
• A tárfiók. Ebben a hatókörben a szerepkör-hozzárendelés az összes üzenetsorra és üzenetükre vonatkozik.
• Az erőforráscsoport. Ebben a hatókörben a szerepkör-hozzárendelés az erőforráscsoport összes tárfiókjában lévő összes üzenetsorra vonatkozik.
• Az előfizetés. Ebben a hatókörben a szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjában található összes tárfiók összes üzenetsorára vonatkozik.
• Egy felügyeleti csoport. Ebben a hatókörben a szerepkör-hozzárendelés a felügyeleti csoport összes előfizetésének összes erőforráscsoportjában lévő összes tárfiók összes üzenetsorára vonatkozik.

További információ az Azure RBAC-szerepkör-hozzárendelések hatóköréről: Az Azure RBAC hatókörének ismertetése.

Azure beépített szerepkörök üzenetsorokhoz

Az Azure RBAC számos beépített szerepkört biztosít a várólistás adatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID és az OAuth használatával. Néhány példa az Azure Storage-beli adaterőforrások engedélyeit biztosító szerepkörökre:

• Storage-üzenetsoradatok közreműködője: Olvasási/írási/törlési engedélyeket adhat az Azure-üzenetsoroknak.
• Storage-üzenetsoradatok olvasója: Csak olvasási engedélyeket adhat az Azure-üzenetsoroknak.
• Storage-üzenetsoradatok üzenetfeldolgozója: Betekintési, lekérési és törlési engedélyeket adhat az Azure Storage-üzenetsorok üzeneteinek.
• Storage-üzenetsoradatok üzenetküldője: Hozzáadási engedélyeket adhat az Azure Storage-üzenetsorok üzeneteinek.

Ha szeretné megtudni, hogyan rendelhet azure-beli beépített szerepkört egy biztonsági taghoz, olvassa el az Azure-szerepkör hozzárendelése az üzenetsor-adatokhoz való hozzáféréshez című témakört. Az Azure RBAC-szerepkörök és azok engedélyeinek listázásához tekintse meg az Azure-szerepkördefiníciók listáját.

A beépített szerepkörök Azure Storage-hoz való definiálásáról további információt a szerepkördefiníciók ismertetése című témakörben talál. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörökben talál.

Csak az adathozzáféréshez explicit módon definiált szerepkörök teszik lehetővé, hogy a biztonsági tagok hozzáférjenek az üzenetsor-adatokhoz. A beépített szerepkörök, például a Tulajdonos, a Közreműködő és a Tárfiók közreműködője lehetővé teszik, hogy egy biztonsági tag kezelje a tárfiókot, de a Microsoft Entra-azonosítón keresztül nem biztosít hozzáférést a fiók üzenetsoradataihoz. Ha azonban egy szerepkör tartalmazza a Microsoft.Storage/storageAccounts/listKeys/action függvényt, akkor a szerepkörrel rendelkező felhasználók a fiók hozzáférési kulcsaival megosztott kulcsok engedélyezésével férhetnek hozzá a tárfiók adataihoz. További információ: Az üzenetsoradatokhoz való hozzáférés engedélyezése az Azure Portalon.

Az Azure Storage beépített Azure-szerepköreiről az adatszolgáltatásokhoz és a felügyeleti szolgáltatáshoz készült Azure-beli beépített szerepkörökről az Azure RBAC beépített Azure-szerepköreinek Storage szakaszában olvashat. Emellett az Azure-ban engedélyeket biztosító szerepkörök különböző típusaival kapcsolatos információkért tekintse meg az Azure-szerepköröket, a Microsoft Entra szerepköröket és a klasszikus előfizetés-rendszergazdai szerepköröket.

Fontos

Az Azure-szerepkör-hozzárendelések propagálása akár 30 percet is igénybe vehet.

Hozzáférési engedélyek adatműveletekhez

Az adott üzenetsor-szolgáltatásműveletek hívásához szükséges engedélyekkel kapcsolatos részletekért tekintse meg az adatműveletek hívásához szükséges engedélyeket.

Adatok elérése Microsoft Entra-fiókkal

Az üzenetsoradatokhoz való hozzáférés az Azure Portalon, a PowerShellen vagy az Azure CLI-n keresztül a felhasználó Microsoft Entra-fiókjával vagy a fiók hozzáférési kulcsaival (megosztott kulcs engedélyezése) engedélyezhető.

Figyelmeztetés

A megosztott kulccsal való engedélyezés nem ajánlott, mivel kevésbé biztonságos. Az optimális biztonság érdekében tiltsa le a megosztott kulccsal történő engedélyezést a tárfiókhoz, az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című cikkben leírtak szerint.

A hozzáférési kulcsok és a kapcsolati sztring használatát a koncepcióalkalmazások vagy a fejlesztési prototípusok kezdeti ellenőrzésére kell korlátozni, amelyek nem férnek hozzá éles vagy bizalmas adatokhoz. Ellenkező esetben az Azure SDK-ban elérhető jogkivonatalapú hitelesítési osztályokat mindig előnyben kell részesíteni az Azure-erőforrásokhoz való hitelesítéskor.

A Microsoft azt javasolja, hogy az ügyfelek a Microsoft Entra-azonosítót vagy a közös hozzáférésű jogosultságkódot (SAS) használják az Azure Storage-adatokhoz való hozzáférés engedélyezéséhez. További információ: Műveletek engedélyezése adathozzáféréshez.

Adathozzáférés az Azure Portalról

Az Azure Portal használhatja a Microsoft Entra-fiókját vagy a fiók hozzáférési kulcsait egy Azure Storage-fiók üzenetsor-adatainak eléréséhez. Az Azure Portal által használt engedélyezési séma az Önhöz rendelt Azure-szerepköröktől függ.

Az üzenetsoradatok elérésekor az Azure Portal először ellenőrzi, hogy hozzárendelték-e Azure-szerepkört a Microsoft.Storage/storageAccounts/listkeys/action szolgáltatáshoz. Ha ezzel a művelettel szerepkörhöz lett rendelve, akkor az Azure Portal a fiókkulcsot használja az üzenetsor-adatok megosztott kulcs engedélyezésével való eléréséhez. Ha még nem rendelt hozzá szerepkört ezzel a művelettel, akkor az Azure Portal megkísérli elérni az adatokat a Microsoft Entra-fiókjával.

Ha a Microsoft Entra-fiókjával szeretne hozzáférni az üzenetsor-adatokhoz az Azure Portalról, engedélyekre van szüksége az üzenetsor-adatok eléréséhez, és engedélyekre is szüksége van az Azure Portal tárfiók-erőforrásainak navigálásához. Az Azure Storage által biztosított beépített szerepkörök hozzáférést biztosítanak az üzenetsor-erőforrásokhoz, de nem adnak engedélyeket a tárfiók erőforrásaihoz. A portálhoz való hozzáféréshez ezért egy olyan Azure Resource Manager-szerepkör hozzárendelésére is szükség van, amelynek hatóköre legalább a tárfiók szintjére kiterjed (például az Olvasó szerepkör). Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz. Ha többet szeretne megtudni arról, hogyan rendelhet engedélyeket a felhasználókhoz az adathozzáféréshez az Azure Portalon Egy Microsoft Entra-fiókkal, olvassa el az Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez című témakört.

Az Azure Portal jelzi, hogy melyik engedélyezési séma van használatban az üzenetsorra való navigáláskor. A portál adathozzáférésével kapcsolatos további információkért tekintse meg a várólistás adatokhoz való hozzáférés engedélyezésének módját az Azure Portalon.

Adathozzáférés a PowerShellből vagy az Azure CLI-ből

Az Azure CLI és a PowerShell támogatja a Microsoft Entra hitelesítő adataival való bejelentkezést. A bejelentkezés után a munkamenet ezen hitelesítő adatok alatt fut. További információért tekintse meg az alábbi cikkek egyikét:

• Az üzenetsoradatokhoz való hozzáférés engedélyezése az Azure CLI-vel
• PowerShell-parancsok futtatása a Microsoft Entra hitelesítő adataival az üzenetsoradatok eléréséhez

Következő lépések

• Hozzáférés engedélyezése az Azure Storage-beli adatokhoz
• Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez